La publicité numérique dans l'UE sous surveillance : des cadres de consentement aux publicités basées sur la surveillance

La publicité numérique dans l'UE sous surveillance : des cadres de consentement aux publicités basées sur la surveillance

Ces dernières années, l'Union européenne a progressivement renforcé son contrôle sur les pratiques publicitaires numériques, notamment en ce qui concerne les publicités ciblées reposant sur le profilage des utilisateurs.

Une série de décisions de justice et de réglementations – dont des arrêts de principe et une interprétation évolutive de la notion de données personnelles – ont engendré des difficultés considérables pour le secteur. Au cœur de ces évolutions se trouve le Cadre de transparence et de consentement (TCF) de l'IAB Europe, longtemps présenté comme le mécanisme de référence pour la conformité au RGPD. Or, les tribunaux ont de plus en plus constaté les lacunes de ce cadre.

Depuis son lancement en 2017, le TCF visait à standardiser la manière dont les éditeurs, les annonceurs et les partenaires technologiques publicitaires obtiennent, enregistrent et partagent le consentement des utilisateurs, conformément au RGPD. Cependant, des ONG, dont le Conseil irlandais des libertés civiles et Bits of Freedom, ont déposé de nombreuses plaintes pour violations graves du RGPD. En février 2022, l’Autorité belge de protection des données (APD) a jugé que les mécanismes de consentement du TCF ne permettaient pas d’obtenir un consentement juridiquement valable, libre et éclairé, et a infligé une amende de 250 000 euros à IAB Europe.

Le 7 mars 2024, la Cour de justice de l’Union européenne (CJUE) a confirmé que la « chaîne TC » – l’encodage technique des préférences de consentement d’un utilisateur au sein du TCF – constitue une donnée à caractère personnel au sens du RGPD, même si elle n’identifie pas directement une personne physique. La CJUE a également statué qu’IAB Europe pouvait être considérée comme responsable conjoint du traitement, selon qu’elle exerce ou non un contrôle à ses propres fins.

Le 14 mai 2025, le Tribunal du marché belge a rendu un arrêt nuancé précisant davantage les responsabilités dans l’écosystème de la publicité numérique. La Cour a réaffirmé que les chaînes de caractères TC Strings constituent des données personnelles lorsqu'elles sont associées à des personnes identifiables par des moyens raisonnables, tels qu'une adresse IP. Elle a également confirmé qu'IAB Europe est responsable conjoint du traitement, mais uniquement pour le traitement des chaînes de caractères TC Strings – et non pour OpenRTB ou les opérations publicitaires numériques plus générales.

La Cour a par ailleurs souligné que d'autres acteurs (plateformes de gestion de contenu, fournisseurs, éditeurs) sont également responsables conjoints du traitement au sens du RGPD, sauf en cas de répartition contractuelle claire des responsabilités. La responsabilité est donc partagée à parts égales par défaut. Elle ne peut être transférée à une seule partie ; la responsabilité conjointe exige des accords structurés de manière proactive.

Dans une affaire connexe mais indépendante, la Cour d'appel de Bruxelles a jugé que le modèle de consentement sous-jacent à la publicité ciblée – y compris au sein du TCF – est illégal au regard du droit européen de la protection des données. Des organisations non gouvernementales comme Amnesty International ont salué cette décision comme une victoire importante pour la protection de la vie privée, la qualifiant de « victoire majeure pour le droit à la vie privée » et appelant à l'abandon de la publicité basée sur la surveillance.

Les médias spécialisés en technologie et les organisations de défense des libertés civiles ont exprimé des sentiments similaires. La décision visait les géants du secteur, de Google à Amazon en passant par Microsoft, qui s'appuient fortement sur des systèmes d'enchères en temps réel basés sur les données des utilisateurs.

Ces décisions ont non seulement affecté les pratiques publicitaires, mais ont également élargi la définition des données personnelles. En résumé :

Il a été confirmé que les chaînes de caractères sont des données personnelles si elles peuvent être associées à une personne identifiable, déplaçant ainsi l'attention des identifiants directs vers l'identification potentielle par inférence.

Plusieurs décisions de l'UE, comme celles relatives à l'utilisation de Google Analytics en Autriche, ont également élargi la perspective sur ce qui constitue l'identifiabilité et les mécanismes de transfert de données autorisés.

Au-delà des publicités en ligne, des études universitaires montrent que le RGPD a eu un impact limité, mais mesurable, sur la réduction du nombre de traqueurs par éditeur, même si de nombreuses applications ne parviennent toujours pas à obtenir un consentement éclairé pour le suivi par des tiers.

L'environnement juridique s'adapte donc pour englober non seulement les identifiants évidents, mais aussi les signaux comportementaux qui, agrégés, révèlent des profils personnels.

L’écosystème réglementaire élargi ajoute des contraintes supplémentaires :

La loi sur les services numériques (DSA), en vigueur depuis novembre 2022, cible plus directement la publicité numérique. Elle exige la transparence (par exemple, les répertoires publicitaires), interdit le profilage basé sur des données sensibles et impose des restrictions plus strictes au ciblage publicitaire des enfants.

La loi sur les marchés numériques (DMA), en vigueur depuis mai 2023, s’attaque aux plateformes « gatekeepers » (par exemple, Google, Meta). Meta a été condamnée à des amendes pour son modèle « consentorpay », qui facturait aux utilisateurs européens une expérience sans publicité sans proposer de version gratuite respectueuse de la vie privée. Apple et Meta ont été sanctionnées en avril 2025 en vertu de la DMA.

L’effet combiné de ces décisions et réglementations annonce une transformation profonde :

La publicité basée sur la surveillance est de plus en plus menacée. Les systèmes reposant sur le profilage de masse avec un manque de transparence concernant l’utilisateur sont particulièrement vulnérables.

Le suivi n'a jamais été techniquement conforme au RGPD, mais il est aujourd'hui plus facile à détecter qu'auparavant.

Responsabilité accrue au titre du RGPD : l'IAB Europe et les autres acteurs de l'écosystème sont désormais confrontés à une responsabilité conjointe, voire égale, en l'absence d'accords clairs de partage des responsabilités.

Les mécanismes de consentement doivent être véritablement éclairés et libres. Les consentements fragmentés, cloisonnés contractuellement ou par défaut ne sont plus acceptables, surtout lorsque les pratiques de « consentement contre paiement » sont perçues comme coercitives.

La définition juridique des données personnelles évolue. Même les métadonnées ou les préférences utilisateur encodées sont concernées si elles peuvent être réidentifiées par des moyens raisonnables.

Priorité aux modèles publicitaires respectueux de la vie privée. L'écosystème publicitaire européen devrait évoluer vers des publicités contextuelles, des modèles moins intrusifs et une transparence accrue.

L'Union européenne revoit son approche de la publicité numérique, passant d'une régulation passive à une intervention active. La Cour d'appel de Bruxelles a porté un coup dur aux modèles basés sur le suivi, tandis que le Tribunal du marché belge a clarifié les cadres de responsabilité. Parallèlement, le champ d’application du RGPD, renforcé par les mandats de la DSA et de la DMA, rend les méthodes traditionnelles d’enchères en temps réel et de surveillance juridiquement risquées.

Les acteurs de la publicité numérique doivent repenser les mécanismes de consentement, restructurer les relations avec les responsables du traitement des données et se recentrer sur des modèles publicitaires respectueux de la vie privée. Une plateforme complète de gestion du consentement constitue un pas dans la bonne direction.